сряда, март 25, 2009

Ботмрежите се добраха и до пингвинарника

Ботмрежа
Вече и рутери с Linux в бот-мрежи.

"We have come across a botnet worm spreading around called "psyb0t". It is notable because, according to my knowledge, it:
-- is the first botnet worm to target routers and DSL modems
-- contains shellcode for many mipsel devices
-- is not targeting PCs or servers
-- uses multiple strategies for exploitation, including bruteforce username and password combinations
-- harvests usernames and passwords through deep packet inspection
-- can scan for exploitable phpMyAdmin and MySQL servers
Vulnerable devices
-- any linux mipsel routing device that has the router administration interface or sshd or telnetd in a DMZ, which has weak username/passwords (including openwrt/dd-wrt devices).
-- possibly others"
След заразяването се блокира всякакъв достъп до хоста (вписва правила в iptables) и се връзва в ботмрежата. Едно утешение - поне засега червеят лови само MIPS рутери (добре е, когато вкъщи имаш PC и pfsense, а не дебилно сървърче с BusyBox, макар че пък засега няма списък с видовете Linux дистрибуции, които са податливи). Проникването става през ssh, telnet, http (ако някой от тези портове е отворен за WAN), при наличие на наистина слаба парола. За разумните: не е зле освен да си сложите прилична парола, да смените и стандартните портове, атакувани от червея (22, 23, 80/tcp).

Разбира се, кодът е меко казано идиотски, но при желание може да бъде и доста по-сериозен и ефективен. Това е само proof of concept, така че...

А и в Мрежата гъмжи от скапани сървърчета, писани с левия крак и крепящи се на уязвим код и набор от стандартни акаунти и пароли, или даващи на юзърите възможност да отварят към Мрежата рискови услуги без контрол на достъпа. Така че не бързайте да крещите с пълно гърло, че ето, и Linux sux и "вече не е неуязвим за зарази" (sic!). Който не си е сложил презерватива овреме, сам си е виновен.

0 коментара :

Публикуване на коментар